DUYURU 2023/71
KİŞİSEL VERİLERİ KORUMA KURULUNUN ÇALIŞMA HAYATINA İLİŞKİN KARARLARI
1. Kişisel Verilerinin İş Akdinin Feshinden Sonra İşveren Tarafından İşlenmeye Devam Edilmesi
Kişisel Verileri Koruma Kurulu, 20/10/2022 tarihli ve 2022/1147 sayılı kararı
Konu: İlgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesine ilişkin şikâyet.
İlke Kararına Konu Edilen Şikayetler:
İlgili kişinin Kuruma intikal eden şikayetinde özetle;
• Mobilya-dekorasyon sektöründe faaliyet gösteren bir anonim şirket bünyesinde iç mimar olarak yaklaşık 3 yıl çalıştığı, iş akdinin feshi tarihinden sonra, pandemi döneminde veri sorumlusu şirket tarafından müşterilere yönelik olarak sosyal medya üzerinden gerçekleştirilen canlı yayınlardaki görüntüsünün TV reklamlarında, veri sorumlusu şirketin internet sitesinde, sosyal medya hesaplarında ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanıldığı, görüntüsünün bu şekilde kullanımı ile ilgili olarak kendisine aydınlatma yapılmadığı, açık rızasının da alınmadığı,
• Öte yandan iş akdinin feshedildiği tarihten sonra veri sorumlusunun taşıma süreçlerine ilişkin kargolarda hala ilgili kişinin cep telefonu numarasının kullanıldığı,
• Yine iş akdinin feshedildiği tarihten sonra ilgili kişinin veri sorumlusu bünyesinde gerçekleştirilen satış ve tahsilat işlemlerinde işlemi gerçekleştiren kişi gibi göründüğü,
• Şikâyete konu durum ve delillerin Bilirkişi Raporu ile tespit edildiği,
• Veri sorumlusuna yapılan başvuruda ilgili kişiye ait kişisel verilerin imhası ve bu konuda kendisine bilgi verilmesinin talep edilmesine karşın veri sorumlusu tarafından bu konuda bir işlem yapılmayıp hatalı ve eksik bilgi verildiği, veri sorumlusu tarafından ilgili kişinin aydınlatma metnini imzaladığı ifade edilmiş ise de bu aydınlatma metninin iş akdi süresi içerisinde sınırlı olduğu, zira içerisinde “Kişisel verileriniz, iş akdiniz devam ettiği sürece yukarıdaki amaçlarla ve bu amaçların gerektirdiği süre boyunca saklanacaktır.” ibaresinin yer aldığı,
• Veri sorumlusu tarafından ilgili kişiye çalıştığı süre boyunca iki adet şirket hattı tesis edildiği iddia edilmiş ise de kargo şirketine bildirilen numaranın, ilgili kişinin şahsî cep telefonu numarası olduğu, ilgili kişiye işten ayrıldıktan sonra gelen kargo SMS’lerinin de bunun kanıtı olduğu, şirket merkezinden ilgili kişinin çalıştığı mağazaya gönderilen ürünlerin kargolarında alıcı olarak halen ilgili kişinin telefon numarasının verildiği, bu durumun iş akdinin bitmesiyle birlikte hukuka aykırı hale geldiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması ve hukuka aykırı olarak işlenen kişisel verilerinin imha edilmesi talep edilmiştir.
Karar:
İlgili kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu verilerin paylaşımına devam edilmesi suretiyle işlenmesinde Kanun kapsamında geçerli bir işleme şartının mevcut olmadığı, öte yandan ilgili kişinin kargo şirketleri nezdinde kayıtlı olan kişisel cep telefonu numarasının ve iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinde kayıtlı bulunan ve kendisini işlem yetkilisi olarak gösteren kişisel verilerinin Kanun’un 4’üncü maddesinde yer alan Genel İlkelerden “doğru ve gerektiğinde güncel olma” ilkesine aykırı şekilde işlendiği, bu verilerin işlenmesinde veri sorumlusunca bir başka hukuki nedenin de gösterilemediği görüldüğünden Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri sorumlusu hakkında, ilgili kişinin hukuka aykırı olarak işlenen kimlik ve iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu hususu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 250.000 TL idarî para cezası uygulanmasına karar verilmiştir.
Diğer taraftan, ilgili kişinin hukuka aykırı bir şekilde işlendiği anlaşılan şahsî cep telefonu bilgisinin veri sorumlusu ve kargo şirketi kayıtlarından, isim ve soy isim bilgilerinin ise iş akdi feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli evrak ve formlar içerisinden imha edilmesi, buna ilişkin usule uygun bir şekilde düzenlenecek olan tutanakların ilgili kişi vekiline iletilmesi ve bu tutanaklar ile ilgili belgelerin muhatabınca tebellüğ edildiğine dair delillerin Kurula da gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
2. Veri Sorumlusu Eski İşveren Tarafından İlgili Kişinin Kişisel Verilerinin Yer Aldığı Adli Yazışma Bilgilerinin Kardeşi İle Paylaşılması
Kişisel Verileri Koruma Kurulu, 02/09/2022 tarihli ve 2022/896 sayılı kararı
Konu: Veri sorumlusu eski işveren tarafından ilgili kişinin kişisel verilerinin yer aldığı adli yazışma bilgilerinin kardeşi ile paylaşılması
İlke Kararına Konu Edilen Şikayetler: Şikâyette özetle; ilgili kişi ile veri sorumlusu arasındaki iş akdinin haklı nedenle feshedildiği tarihe kadar geçen sürede bir iş ilişkisinin mevcut olduğu, bu doğrultuda veri sorumlusu tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği, ancak bu kişisel veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı, ayrıca birtakım kişisel veriler işlenirken ilgili kişinin açık rızasının alınmadığı, bunların yanı sıra veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği, ilgili hususta veri sorumlusuna başvuru yapılmışsa da cevap alınamadığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Karar:
• Veri sorumlusu ile ilgili kişi arasındaki iş sözleşmesi kapsamında ilgili kişiye ilişkin kimlik bilgilerinin “kanunlarda açıkça öngörülme” şartına dayalı olarak; özlük dosyasında bulundurulması gereken şikayete konu diğer kişisel veri içeren belgelerin ise anılan maddenin (ç) bendinde yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayalı olarak işlendiği değerlendirildiğinden kişisel veri işleme faaliyeti açısından veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine yer olmadığına,
• Veri sorumlusu tarafından ilgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikayet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, Kanun’un 5’inci maddesinde yer alan kişisel verilerin işlenmesi şartlarından herhangi birine dayanmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 150.000 TL idari para cezası uygulanmasına,
• İlgili kişinin kişisel verilerinin işlenmesine ilişkin aydınlatılmadığını iddia ettiği, veri sorumlusunun kişisel veri işlenmesine ilişkin sözlü olarak aydınlatma yapıldığını beyan ettiği ancak bu konuda tevsik edici bir belgenin Kuruma iletilmemiş olduğu, bununla birlikte Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin (1) numaralı fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu hususları dikkate alındığında, veri sorumlusunun çalışanlara ilişkin kişisel veri içeren bilgi ve belgeleri özlük dosyasında muhafaza etmek suretiyle işlemesi hakkında ilgili kişileri aydınlatması gerektiği ve bu doğrultuda aydınlatma yükümlülüğünün Tebliğ’in ilgili hükümleri uyarınca yerine getirilmesinde gerekli dikkat ve özeni göstermesi hususunun veri sorumlusuna hatırlatılmasına,
• Veri sorumlusunun Kanun ve Tebliğ’den doğan “ilgili kişinin başvurusunun cevaplandırılması” yükümlülüğünü yerine getirmediği anlaşıldığından, veri sorumlusunun ilgili kişilerin yaptığı başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak ve Kanun ile Tebliğ’de öngörülen süreler içerisinde cevaplandırması gerektiği konusunda uyarılmasına; ayrıca ilgili kişinin taleplerinin yanıtsız bırakıldığı dikkate alındığında veri sorumlusunun, ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi ve ilgili kişiye verilen cevaba ve cevabın ilgili kişi tarafından tebellüğ edilip edilmediğine ilişkin tevsik edici belgeyle birlikte Kurula bilgi vermesi gerektiği yönünde talimatlandırılmasına,
• Öte yandan veri sorumlusunun Kurumun ikinci yazısına da cevap vermediği dikkate alındığında bundan sonraki süreçte Kurumca istenilen bilgi ve belge taleplerine zamanında cevap verilmesi hususunda uyarılmasına,
• Şikâyet konusunun veri ihlali niteliği arz ettiği, bu çerçevede bundan sonraki süreçlerde meydana gelebilecek veri ihlallerinde Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında ilgili kişilere ve Kurula bilgi verilmesi gerektiği hususunun veri sorumlusuna hatırlatılmasına karar verilmiştir.
3. Görüşmenin İçeriği Hakkındaki Muhtelif Bilgilerin İş Görüşmesi Yapılan Şirket Tarafından Halihazırdaki İş Yeri İle Paylaşılması
Kişisel Verileri Koruma Kurulu’nun 04/08/2022 tarihli ve 2022/798 sayılı kararı
Konu: İlgili kişinin bir şirket ile iş görüşmesi yaptığı bilgisi ile görüşmenin içeriği hakkında muhtelif bilgilerin iş görüşmesi yapılan şirket tarafından halihazırdaki işyeri ile paylaşılması
İlke Kararına Konu Edilen Şikayetler: Kuruma intikal eden şikayette özetle; ilgili kişinin halihazırda bir şirket bünyesinde çalışmakta iken başka bir şirkete iş görüşmesi yapmak maksadıyla davet edildiği ve iş görüşmesinin gerçekleştirildiği, iş görüşmesi yapan veri sorumlusu şirket tarafından, ilgili kişinin halihazırda çalışmakta olduğu şirket hakkında itibarını zedeler nitelikte birçok beyanda bulunduğu bilgisinin ilgili kişinin mevcut iş yeri ile paylaşıldığı, bunun neticesinde ilgili kişinin mevcut iş yeri tarafından ücretsiz izne çıkarıldığı, bu durum üzerine ilgili kişi tarafından iş sözleşmesinin feshi için ihtarname gönderildiği, iş yeri tarafından ihtarnameye verilen yanıtta ilgili kişinin başka bir şirket ile iş görüşmesi yaptığı, ayrıca ilgili kişinin halihazırdaki iş yeri hakkında bir takım söylemlerde bulunduğu, bu durumun iş görüşmesi yaptığı veri sorumlusu şirket tarafından kendilerine iletildiği bilgilerine yer verildiği, dolayısıyla ihtarnameye verilen yanıtta ilgili kişinin iddialarının tevsik edildiği, akabinde ilgili kişi tarafından kişisel verilerinin işlenip işlenmediği, kişisel verilerinin kimlerle paylaşıldığı konularında bilgi edinmek, ayrıca maddi ve manevi zararların tazmini ile kişisel verilerinin silinmesini talep etmek suretiyle iş görüşmesi yapan veri sorumlusuna başvuruda bulunulduğu ancak yasal süresi içerisinde yanıt verilmediği belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Karar:
Veri sorumlusu tarafından ilgili kişinin şirketleri ile iş görüşmesi yaptığı bilgisi ile iş görüşmesinde ilgili kişinin halihazırda çalışmakta olduğu iş yeri hakkında birçok söz beyan ettiği bilgisinin aktarılması faaliyetinin Kanun’un 8’nci maddesine uygun şekilde gerçekleştirilmediği değerlendirilmekte olup bu durumun Kanun’un 12’nci maddesinde yer verilen “veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır” hükmüne aykırılık teşkil etmesi nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
4. İş Akdinin Sonlandırılması Hususunun Veri Sorumlusuna Ait Sosyal Medya Hesabında Paylaşılması
Kişisel Verileri Koruma Kurulu’nun 21/04/2022 Tarihli Ve 2022/386 sayılı kararı
Konu: Veri sorumlusu bünyesinde çalışan bir kişinin iş akdinin sonlandırılması hususunun veri sorumlusuna ait sosyal medya hesabında paylaşılması
Karara Konu Edilen Şikayetler: Veri sorumlusu bünyesinde şirket müdürü olarak çalışmakta iken iş akdinin haksız şekilde sonlandırıldığı ve veri sorumlusuna ait sosyal medya hesabında “… Yaptığı usulsüzlükler nedeni ile işten ATILAN …..’ın sizlere vermiş olduğu rahatsızlıktan dolayı özür dileriz…” içerikli bir paylaşım yapıldığı, söz konusu paylaşımın silinmesi, durdurulması ve düzeltme metni yayınlanması için 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna ihtarda bulunduğu ancak tarafına cevap verilmediği, herhangi bir mahkeme kararı ve rızası olmadan yapılan bu duyurudan şikayetçi olduğu belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme: Somut olayda, ilgili kişinin açık ad ve soyadı ile ilgili kişi hakkındaki ithamları da içeren duyurunun sadece şirket müşterilerinin değil herkesin erişimine açık şekilde şirketin sosyal medyada yer alan kurumsal hesabında/sayfasında yayınlandığı, bu çerçevede, veri sorumlusunun sosyal medyadaki kurumsal hesabı/sayfasının sadece şirketin müşterilerine özel bir ortam olmadığı, herkese açık bir platform olduğu dikkate alındığında söz konusu eylemin Kanun’un 4’üncü maddesindeki ölçülülük ilkesine aykırılık teşkil ettiği ve ilgili kişinin kişisel verilerinin işlenmesine ilişkin Kanun’un 5’inci maddesi kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı değerlendirilmiştir.
Karar: İlgili kişinin kişisel verilerinin Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın veri sorumlusuna ait sosyal medya hesabında paylaşılmak suretiyle işlendiği kanaatine varıldığından, Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında, şikayete konu olayda ilgili kişi hakkındaki duyurunun veri sorumlusu tarafından Kanun’un 4’üncü maddesine aykırı olarak herkese açık bir şekilde yapıldığı, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge bulunmadığı, Kanun kapsamındaki bir işleme şartına dayanıldığına dair Kuruma somut herhangi bir bilgi, belge sunulmadığı hususları ile veri sorumlusunun ekonomik durumu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 30.000 TL idari para cezası uygulanmasına, ilgili sosyal medya paylaşımında yer verilen kişisel verilerin imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
5. İlgili Kişinin Kişisel Verilerinin Yer Aldığı İhtarnamenin Veri Sorumlusu Tarafından Başka Çalışanlara Gönderilmesi
Kişisel Verileri Koruma Kurulu’nun 07/04/2022 Tarihli Ve 2022/328 sayılı kararı
Konu: İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi
Karara Konu Edilen Şikayetler: İlgili kişinin ücretsiz izne gönderildiğine dair veri sorumlusu tarafından kendisine bir ihtarname iletildiği, söz konusu ihtarnamenin yedi kişiye daha gönderildiği, ihtarnamede T.C. kimlik numarası ve adresinin bulunması nedeniyle ilgili kişinin kişisel verilerinin alenen ifşa edildiği belirtilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme:
• Somut olayda, veri sorumlusu tarafından ilgili kişinin ve diğer yedi çalışanın bilgilerine aynı ihtarnamede yer verildiğinin görüldüğü ve veri sorumlusu tarafından da bu durumun ikrar edildiği,
• Senetler düzenleme ve onaylama şeklinde hazırlanabilmekle birlikte söz konusu belgenin noterlik tarafından “onaylama” şeklinde gerçekleştirildiğinin görüldüğü ve ilgili kişinin kişisel verilerine ek olarak yedi çalışanın da kişisel verilerinin toplu bir şekilde aynı ihtarnamede yer almasından dolayı her birinin kişisel verilerinin birbirleriyle paylaşıldığının anlaşıldığı,
• İlgili kişinin ve diğer yedi çalışanın kimlik ve iletişim verisinin ihtarnamede yer alması suretiyle ilgili noterlikle paylaşılması Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında yer almakla birlikte söz konusu çalışanların kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. gibi bir işlem yapılmaması sebebiyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı ve bu suretle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığı değerlendirilmiştir.
Karar: İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin veri sorumlusu tarafından yedi kişiye daha gönderildiği iddiasına ilişkin olarak; diğer yedi çalışanla birlikte ilgili kişinin kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken de herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. işlemin yapılmaması nedeniyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı, bu çerçevede Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırı olduğu değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına, diğer taraftan karar hakkında Türkiye Noterler Birliğine bilgi verilmesine karar verilmiştir.
6. Bağımlılık Yapıcı Madde Testinin Sonuçlarının İlgili Kişilerin Açık Rızası Alınmaksızın Veri Sorumlusu Bir Özel Sağlık Kuruluşu Tarafından İlgili Kişilerin İşyerinde Görevli Üçüncü Bir Kişiye Ait E-Posta Adresine Gönderilmesi
Kişisel Verileri Koruma Kurulu’nun 22/06/2022 Tarihli Ve 2022/594 sayılı kararı
Konu: Özel nitelikli kişisel sağlık verisi niteliğindeki bağımlılık yapıcı madde testinin sonuçlarının ilgili kişilerin açık rızası alınmaksızın veri sorumlusu bir özel sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmesi
Karara Konu Edilen Şikayetler:
• İlgili kişilerin, işveren bünyesinde tüm çalışanlar gibi hiçbir sebep ve açıklama olmaksızın baskıyla uyuşturucu testine zorlandığı, evlerinden çağrılarak veri sorumlusu özel sağlık kuruluşunda test yaptırıldığı,
• Testin yapılması sırasında ilgili kişilerin iletişim bilgileri alınmadığı gibi test sonuçlarının hukuka aykırı olarak ilgili kişilerin işyerindeki bir personele ait e-posta adresine gönderildiği, dolayısıyla kişisel sağlık verilerinin kendilerinden izin alınmaksızın ve hiçbir aydınlatma yapılmaksızın, açık rızaları dışında üçüncü bir kişiye aktarıldığı,
• Konu ile ilgili olarak yapılan başvurulara istinaden veri sorumlusu tarafından ilgili kişilere verilen cevapta ilgili kişilerin, çalıştıkları kurumun işvereni olarak bildirdikleri üçüncü kişi ile birlikte laboratuvar birimine gelerek bağımlılık yapıcı madde taraması yaptırmak istediklerini beyan ettikleri, her hastaya yapıldığı gibi kayıt aşamasında T.C. kimlik numarası, doğum tarihi, telefon numarası ve sonucun bildirileceği e-posta adresinin istenerek kayıt işlemlerinin yapıldığı, bahsi geçen hastaların ödemesinin beraber geldikleri işverenleri tarafından yapıldığı, hastaların yanında duyabilecekleri şekilde ve kameraların önünde kendi rızaları ile sözlü olarak onay alındıktan sonra işverene ait e-posta adresinin, sonuçların gönderilmesi için kayıtlara işlendiği ve ilgili kişilerin bu duruma hiçbir itirazının olmadığı, kişisel verilerin işlenmesindeki amacın tüm sağlık kuruluşlarında olduğu gibi kişiye özel bir kayıt oluşturmak ve çalışan test sonuçlarını raporlamak olduğunun beyan edildiği,
• İlgili kişilerin diğer arkadaşlarından öğrendikleri şekliyle, test sonrasında şikâyette belirtilen üçüncü kişinin sonuçların kendisine gönderilmesini istediğini ve kayıt alan kişinin de hiçbir açık rıza beyanı almaya gerek duymaksızın verilen bilgiyi kayda aldığı,
• Her ne kadar veri sorumlusu sağlık kuruluşu tarafından verilen cevap yazısında ilgili kişilerin işvereni olduğu belirtilse de söz konusu kişinin işverenleri olmadığı, sonuç olarak tetkik sonuçlarının taraflarına gönderilmek yerine üçüncü bir kişiye gönderildiği
ifade edilerek gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme:
Şikâyete konu iddialara ilişkin olarak, veri sorumlusundan ve işverenden alınan cevap yazılarının incelenmesi neticesinde, “ilgili tarihte anılan üçüncü kişinin herhangi bir yetkisinin bulunmadığı, mağaza çalışanı olarak görev yaptığı” şeklindeki açıklamadan anlaşıldığı üzere veri sorumlusu tarafından ilgili kişiye ait özel nitelikli kişisel veri niteliğindeki test sonuçlarının gönderildiği üçüncü kişinin, Kanun’un 6’ncı maddesi kapsamında işveren bünyesinde çalışanların kişisel sağlık verilerini ilgili kişilerin açık rızası olmaksızın işleyebilecek sır saklama yükümlülüğü altında bulunan işyeri hekimi olmadığı,
Veri sorumlusu sağlık kuruluşu tarafından Kuruma intikal ettirilen cevabî yazıda belirtildiği üzere anılan üçüncü kişinin işveren olduğu düşünülerek söz konusu özel nitelikli kişisel verilerin bahsi geçen kişinin e-posta adresine gönderildiği dikkate alındığında veri sorumlusunun ilgili kişilere ait özel nitelikli kişisel verileri göndereceği e-posta adresinin Kanun kapsamında sır saklama yükümlülüğü altında bulunan iş yeri hekimine ait olup olmadığını tespit etmeden gönderdiğinin anlaşıldığı, her ne kadar veri sorumlusu tarafından ilgili kişilerin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanlarının bulunduğu ifade edilse de Kuruma söz konusu hususu kanıtlayıcı mahiyette herhangi bir bilgi ya da belge iletilmediği,
Bu kapsamda, veri sorumlusu sağlık kuruluşunun, ilgili kişilerin sağlık verilerini üçüncü kişi ile paylaşması sureti ile gerçekleştirilen veri işleme faaliyetinin Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın gerçekleştirdiği dikkate alındığında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı kanaatine varıldığı değerlendirilmiştir.
Karar: İlgili kişilere ait özel nitelikli kişisel verilerin veri sorumlusu sağlık kuruluşu tarafından ilgili kişilerin işyerinde görevli üçüncü bir kişiye ait e-posta adresine gönderilmek suretiyle paylaşılması şeklindeki veri işleme faaliyetine ilişkin olarak her ne kadar veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel verilerinin söz konusu e-posta adresine iletilmesi konusunda açık beyanının bulunduğu ifade edilse de söz konusu açık rızayı kanıtlayıcı mahiyette herhangi bir bilgi ya da belgenin Kuruma iletilmediği bu anlamda veri sorumlusunun söz konusu veriyi Kanun’un 6’ncı maddesinde yer alan herhangi bir veri işleme faaliyetine dayanmaksızın paylaştığı, dolayısıyla kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı ve bu hususun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından, söz konusu ihlalden etkilenen kişi sayısının ilgili kişilerle sınırlı kalmadığı, ilgili veri işleme faaliyetinde kişilerin özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin işlendiği, veri sorumlusunun yaklaşık 600’e yakın çalışan ile birçok ilde sağlık hizmetleri verdiği hususları da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 75.000 TL idari para cezası uygulanmasına karar verilmiştir.
7. Veri Sorumlusunun Çalışanlarına Tahsis Ettiği Kurumsal E-Posta Adresindeki İçerikleri İzleme, Erişme Ve Depolama Suretiyle Kişisel Verileri İşlemesi
Kişisel Verileri Koruma Kurulunun 19/01/2023 tarihli ve 2023/86 sayılı kararı
Konu: Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi
Karara Konu Edilen Şikayetler:
Kuruma intikal eden şikâyette özetle;
• İlgili kişinin veri sorumlusu şirkette iş akdinin feshedildiği, fesih sebebinin şirket içi verilerin şirketin tahsis etmiş olduğu e-posta adresi üzerinden kişisel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile gerçekleştirilen telefon görüşmesinin gizlice kayıt altına alınarak yine kişisel e-posta adresi ile avukatının e-posta adresine gönderilmesi olduğu,
• Feshin geçersizliği ve istifaya zorlamak için uygulanan mobbing nedeniyle iş akdinin feshedildiği gerekçesiyle ilgili kişi tarafından işe iade davası açıldığı ve aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki hakları çerçevesinde veri sorumlusu şirkete başvuruda bulunulduğu,
• Şirket tarafından verilen cevabın yeterli olmadığı, ilgili kişi işe başlarken şirket tarafından imzalatılan formlarda bilgisayardaki tüm hareketler ve e-posta içeriği dahil olmak üzere kişisel veri işleme süreçlerine ilişkin düzenlemelerin yer almadığı, bu anlamda iş sözleşmesi ekinde yer alan formlar/taahhütnamelerin battaniye rıza niteliğinde olduğu ve belgelerde yer alan açıklamaların muğlaklıklar içerdiği, ayrıca bu durumun Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesine de aykırılık oluşturduğu,
• Şirketin kendi yayınladığı iş sözleşmesi eki olan “Etik Kurallar ve Disiplin Yönetmeliği” ne de aykırı davrandığı, İş Kanunu’nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü sürelerin geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve fesih konusu iddialarını oluşturan e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu, söz konusu e-postaların ve ses kaydının tarafına iletilmesini talep ettiği ancak veri sorumlusu tarafından iletilmediği, e-posta içeriklerinin izlenmesi, erişilmesi ve depolanması suretiyle kişisel verilerinin hukuka aykırı işlendiği ve söz konusu kişisel veri işleme faaliyetlerinin doğruluk, ölçülülük ilkelerine aykırılık barındırdığı, işe iade davasında şirket avukatları tarafından dava dosyasına iki adet belge sunulduğu ve üç ayrı belgenin sayfalarının değiştirilerek sanki ilgili kişiden onay alınmış, aydınlatma yapılmış veya ilgili kişi tarafından taahhüt verilmiş algısı oluşturulmaya çalışıldığı, “Bilgi Formu ve Muvafakatname” başlıklı belgenin 2. ve 3. sayfalarının başka belgelerden alındığı, dipnotu İşe Alım Süreci Aday KVKK Bilgi ve Onay Formu olan belgenin de çalışanlardan değil iş başvurusunda bulunan adaylardan alınan yazı olduğu ve bu sayfada imzasının bulunmadığı, dipnotu Çalışanlara Ait Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Bilgilendirme ve Muvafakatname olan yazının içeriğinde ise e-posta içeriklerinin izlendiğine dair bilgilendirme olmadığı,
• Bu kapsamda üç belgenin sayfaları değiştirilerek işe başvuran adaylardan alınan belgenin aydınlatma metni gibi gösterilmeye çalışıldığı, muvafakatnamenin ise açık rıza metni olarak gösterilmeye çalışıldığı
ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin yapılan inceleme:
• İlgili kişinin şikâyet dilekçesinde; veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin ve veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddialarının mevcut olduğu,
• İşveren tarafından işçilere kullanım amacıyla tahsis edilen iletişim araçlarının denetiminde işçinin kişisel verilerinin korunması hakkı ile işverenin; kaynakların verimli kullanılmasını sağlama, ticari gizliliği ve yönetim risklerini koruma, çalışanlar tarafından suç işlenmesini önleme, cezai ve hukuki sorumluluğa karşı korunma, bilgi akışının kontrolünü sağlama amaçları arasında menfaat dengesi kurulması gerektiği,
• 17/09/2020 tarih ve 2016/13010 başvuru numaralı Anayasa Mahkemesi Kararı ile Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 12/01/2016 tarihli “Bărbulescu v. Romanya” Kararında değerlendirilen kriterlerin somut olay açısından da dikkate alınması gerektiği, bu kararlarda özetle işverenin hangi ilkeleri göz önünde bulundurarak denetim yapabileceğine ilişkin değerlendirmelere yer verildiği, bu bağlamda, işçinin kişisel verilerinin korunması hakkı ile işverenin denetim hakkı arasında denge kurulurken; işverenin iletişimi denetlemek için önlem alma olasılığı ve bu önlemlerin uygulanması konusunda çalışanı bilgilendirip bilgilendirmediği, bu bilgilendirmenin açık ve net olarak izleme öncesinde yapılıp yapılmadığı, işveren tarafından yapılan izlemenin kapsamı ve işçinin mahremiyetine yapılan müdahalenin derecesi, iletişim akışı ve içeriklerin izlenmesi arasında bir ayrım yapılıp yapılmadığı, iletişimin bir kısmı veya tamamının mı izlendiği, izlemenin zaman açısından sınırlı olup olmadığı, sonuçlara erişimi olan kişilerin sayısı, işverenin iletişimi denetlemek ve içeriğe erişmeyi haklı çıkarmak için meşru gerekçeler sunup sunmadığı, çalışanın iletişimlerinin içeriğine doğrudan erişmekten daha az müdahaleci yöntem ve önlemlere dayalı bir denetim mekanizmasının mümkün olup olmadığı, işçi için izlemenin sonuçları ve sonuçların bilgilendirmede bulunan amaca ulaşmak için kullanılıp kullanılmadığı, işverenin izleme faaliyetlerinin müdahaleci nitelikte olması durumunda işçiye yeterli güvence sağlanıp sağlanmadığı hususlarının dikkate alınması gerektiği, her bir olay özelinde bu hususların tek tek irdelenmesi gerektiği yönünde değerlendirme yapıldığı,
• Uluslararası Çalışma Örgütü’nün işçinin kişisel verilerinin korunmasına ilişkin kılavuzunda da işçiler izleniyorsa izleme nedenleri, zaman çizelgesi, kullanılan yöntem ve teknikler ile toplanacak veriler hakkında önceden bilgilendirilmesi ve işverenin işçilerin özel hayatına müdahaleyi en aza indirmesi gerektiği görüşünde olduğu,
• Madde 29 Çalışma Grubu’nun iş yerinde elektronik iletişimin gözetimi hakkında çalışma belgesinde bazı ilkeler belirlediği; izlemenin işçiler için şeffaf olup olmadığı, işveren açısından bu izlemenin gerekli bulunup bulunmadığı ve daha geleneksel yöntemlerle aynı sonuca ulaşılıp ulaşılamayacağı, işlenecek olan kişisel verilerin çalışanlar açısından yasal olup olmadığı ve kişisel verilerin ulaşılması istenen amaçla orantılı olup olmadığı hususunda bir değerlendirme yapılması gerektiği,
• Veri sorumlusu tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyeti ile ilgili olarak aydınlatma yükümlülüğünün yerine getirilmesi hususuna ilişkin Kuruma intikal ettirilen Yazılım Alışverişi Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunması Politikası, Çalışanlara Ait Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Bilgilendirme, E-Posta Güvenliği, Pazarlama ve İç İletişim Yöneticisi Görev Tanımları, Taahhütname başlıklı metinler incelendiğinde; e-posta yazışmalarının işveren tarafından hangi amaçlarla işlenebileceği, hangi durumlarda e-postaların izlenmesi suretiyle kişisel veri işlenebileceği bilgilerine yer verildiği, iş yeri tarafından tahsis edilen kurumsal e-posta hesabının yalnızca iş amaçlı kullanılabileceği, kişisel kullanımların en makul seviyede tutulması gerektiği hususlarına yer verildiği dikkate alındığında ilgili kişinin imzalamış olduğu metinlerde atıfta bulunulan hususların okunup anlaşıldığına ilişkin beyanda bulunmuş olduğu ve dolayısı ile bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirilmiş olduğu,
• Öte yandan, ilgili kişi tarafından aydınlatma ve açık rıza metinlerinde veri sorumlusunun yanıltıcı bir şekilde evrakları karıştırarak sunduğu iddiasına ilişkin olarak veri sorumlusu tarafından yanıltıcı bir izlenime sebebiyet verilmeye çalışıldığı hususunda somut bir emareye ulaşılamamış olup ilgili kişi tarafından imzalanan evrakların sahteliği hususunda bir iddia mevcut ise yargı yoluna başvurulmasının mümkün olduğu,
• E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin amacı ve hukuki dayanağı hususlarına ilişkin olarak; veri sorumlusunun giyim sektöründe ticari faaliyette bulunan bir şirket olduğu, iş ile ilgili ticari sır veya herhangi bir bilginin üçüncü taraflarla paylaşılmamasını isteme noktasında ve kurumsal iletişim araçlarının kişisel amaçlarla kullanılmamasının sağlanması hususunda haklı menfaati bulunduğu, ayrıca ilgili kişinin yönetici pozisyonunda görev yaptığı ve bu anlamda şirketin gizli kalmasında menfaati bulunan bilgileri haiz olabileceği dikkate alındığında, İş Kanunu’nun 25’inci maddesinde yer alan “işverenin meslek sırlarını ortaya atmak gibi doğruluk ve bağlılığa uymayan davranışlar”ın tespiti ve Türk Borçlar Kanunu’nun 396’ncı maddesinde yer alan “işverene ait teknik sistemlerin usulüne uygun kullanılması ve iş sırları gibi bilgileri hizmet ilişkisinin devamı süresince kendi yararına kullanamayacağı ve başkalarına açıklayamayacağı” hususlarının tespiti amacıyla veri sorumlusunun e-posta denetimi suretiyle kişisel verileri işlemesinde haklı menfaati bulunduğu,
• Veri sorumlusunun e-posta denetimi aracılığıyla ulaşılması istenen amaç ile orantılı bir kişisel veri işleme faaliyetinde bulunup bulunmadığı ve söz konusu denetim gerçekleşmeksizin veri sorumlusunun amacına ulaşıp ulaşamayacağı hususlarına ilişkin olarak; veri sorumlusu tarafından Kuruma intikal ettirilen Bilgi Güvenliği Yönetim Sistemi Kurumsal Mail Aktivite Denetim Raporu ve elde edilen bulgulara ilişkin ekran görüntüsü incelendiğinde veri sorumlusunun şüpheli konuya sahip ve kurumsal e-posta adresinden üçüncü şahıslar ve çalışanın şahsi e-posta adresine iletilen e-postaların tespit edildiği ve sonrasında iletişimin içeriğine ilişkin bir denetim gerçekleştirildiğinin anlaşıldığı, iletişimin denetlenmesi hususunda iletişim akışı ve iletişim içeriklerinin denetlenmesi arasında bir ayrım yapılmasının önem arz ettiği, iletişim içeriklerinin denetlenmesinin daha katı gerekçelere bağlı olduğu, e-posta kullanımının denetlenmesinde işverenin amacı elverdiği kadarıyla iletişimin içeriğinden ziyade öncelikli olarak işverenin menfaatine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali olabilecek durumların tespiti sonrasında iletişimin içeriğine ilişkin bir denetim yapılması gerektiği, veri sorumlusunun herhangi bir ihlalin gerçekleşip gerçekleşmediğini ancak içerik denetimi ile ortaya koyabileceği dikkate alındığında veri sorumlusu tarafından yalnızca ilgili personelle ve amaca yönelik kişisel veri ile sınırlı tutularak ve yine yalnızca amaçlanan çerçevede bir kişisel veri işleme faaliyeti gerçekleştirildiği dolayısıyla söz konusu işlemenin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği,
• Veri sorumlusu tarafından şirket e-posta hesaplarının içeriklerine ulaşılması neticesinde elde edilen kişisel verilerin fesih bildirimine konu edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu iddiasına ilişkin olarak; e-posta denetimi aracılığıyla elde edilen kişisel verilerin yukarıda yapılan değerlendirmeler çerçevesinde fesih konusu olayla birebir ilişkili olduğu, veri sorumlusunun işveren sıfatı ile iş sözleşmesinin feshi ile ilgili olarak açıklama ve ispat hakkını kullandığı, bu itibarla kişisel veri niteliğindeki e-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
• Öte yandan, İş Kanunu’nun 26’ncı maddesinde ve ilgili Disiplin Yönetmeliği’ndeki 6 iş günlük ve 1 yıllık hak düşürücü süreler geçmesine rağmen fesih tarihinden 607 gün ve 149 gün önce elde edilen e-postaların fesih tarihinde kullanılmasının şirketin e-postaları izlediğinin, süresiz depoladığının ve e-postalar üzerinde genel denetimde bulunduğunun göstergesi olduğu iddiaları ile ilgili olarak; İş Kanunu’nun “Derhal fesih hakkını kullanma süresi” başlıklı 26’ncı maddesinde “24 ve 25 inci maddelerde gösterilen ahlak ve iyiniyet kurallarına uymayan hallere dayanarak işçi veya işveren için tanınmış olan sözleşmeyi fesih yetkisi, iki taraftan birinin bu çeşit davranışlarda bulunduğunu diğer tarafın öğrendiği günden başlayarak altı iş günü geçtikten ve her halde fiilin gerçekleşmesinden itibaren bir yıl sonra kullanılamaz.” Hükmünün yer aldığı, söz konusu maddede yer alan sürelerin fesih hakkının kullanılmasına ilişkin olarak düzenlenmiş süreler olduğu, e-posta verilerinin saklanması hususu ile ilgisinin bulunmadığı, e-posta verilerinin yaklaşık 2 yıllık bir süre ile saklanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere aykırılık barındırmadığı
değerlendirilmiştir.
Karar:
• İlgili kişinin imzalamış olduğu metinlerde okunup anlaşıldığına ilişkin beyanda bulunduğu, dolayısıyla bu metinlerde yer alan e-posta denetimi vasıtasıyla işlenecek kişisel verilere ilişkin veri sorumlusu tarafından ilgili kişiye karşı Kanun’un 10’uncu maddesi çerçevesinde aydınlatma yükümlülüğünün yerine getirildiği,
• Şirket tarafından e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü ile (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” işleme şartları kapsamında gerçekleştirildiği,
• E-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği,
• İlgili kişinin e-posta ve ses kayıtlarının tarafına iletilmesi hususundaki talebini öncelikli olarak veri sorumlusuna yöneltmediği dikkate alındığında bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığı,
• E-posta denetimi suretiyle elde edilen kişisel verilerin fesih bildirimine konu edilmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer verilen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü kapsamında gerçekleştirildiği, öte yandan, Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine de aykırılık teşkil etmediği değerlendirildiğinden şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetinde herhangi bir hukuka aykırılık bulunmadığı
hususları dikkate alındığında veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
(Bu yazının tamamını okumak ve Yayınlarımız’a abone olmak için tıklayınız.)